هناك أمر مقلق يحدث في مجال الأمن السيبراني اليوم، وهو أكثر إثارة للقلق من الارتفاع الهائل في الهجمات السيبرانية. هذا الأمر، هو الفترة القصيرة التي يستمر فيها قادة أمن المعلومات (CISO) في عملهم، حيث لديهم معدل أعلى من الدوران الوظيفي (Employee turnover) مقارنة بغيرهم، في وقت تعتبر فيه الشركات الكبرى أهدافاً مثالية لمجرمي الانترنت. وكذلك، مع المتغيرات التي أعقبت الجائحة، تضاعفت مساحة الهجوم.
وبالتالي، إذا كنت تعلم أنك هدف مفضل لمجرمي الانترنت والهجمات المدعومة من الدول، والقراصنة الذين يحركهم المال، فمن المفهوم أنك ستوظف أفضل مسؤول أمن معلومات . وفي المقابل، تتوقع أن مسؤول أمن المعلومات سينشئ فريق للأمن السيبراني ويبني ثقافة أمن سيبراني قوية عبر المؤسسة. ولكن هذا لا يحدث لأن متوسط مدة بقاء كبار مسؤولي أمن المعلومات في مؤسساتهم لا تتجاوز العامين تقريباً. ومع هذا المعدل من دوران الموظفين، فمن المستحيل بناء دور قوي للأمن السيبراني.
الدوران الوظيفي نتيجة ضغط العمل
تتطلب مجموعة المهارات والمعرفة التي يتمتع بها كبار مسؤولي أمن المعلومات اليوم راتباً مرتفعاً، ولكن مع الراتب أيضاً تأتي مجموعة واسعة من المسؤوليات والضغوط. في الواقع، يُقدر متوسط مدة خدمة كبير مسؤولي أمن المعلومات بـ 18 إلى 26 شهراً فقط، وهي فترة زمنية أقل بكثير من 4.9 عاماً لـلمدراء التنفيذيين C-Suite. وتقدر شركة Gartner أنه بحلول عام 2025، سيترك ما يقرب من نصف قادة الأمن السيبراني شركاتهم. بينما سنتقل 25٪ منهم إلى مناصب مختلفة تماماً.
يمكن أن يُعزى دوران المواهب إلى ضغوط مكان العمل والضغوط النفسية والإرهاق، من بين عوامل أخرى، مثل ضعف ثقافة المنظمة وانخفاض دعم المديرين التنفيذيين.
إذن ما الذي يحدث؟ وما سبب هذا المعدل المرتفع من الدوران الوظيفي الذي يجعل مدة عمل مسؤولي أمن المعلومات أقصر؟ تناولت العديد من المقالات الحديثة هذا الأمر، وقدمت العديد من التفسيرات، مثل:
- مستويات عالية من التوتر في هذا الدور الوظيفي
- ساعات عمل شاقة
- يؤدي عبء العمل إلى مشاكل صحية وعائلية
- الافتقار إلى الدعم من القيادة العليا
- ضعف التمويل للقيام بالمهمة بشكل صحيح
قد تبدو تلك القائمة من التفسيرات محزنة بعض الشيء. لكن، هل هناك منصب تنفيذي كبير اليوم لا يعاني من هذه الضغوط. ومع ذلك، فإن كبير مسؤولي أمن المعلومات هو الوحيد فقط الذي يغادر. لماذا؟ لننظر إلى العوامل الداخلية، وليس ضغوط العمل الخارجية أو التحديات التنظيمية. بالنسبة أن غالبية كبار مسؤولي أمن المعلومات اليوم غير قادرين بمهاراتهم أو صفاتهم القيادية على تلبية المطالب المتوقعة منهم. وهنا السبب.
الدوران الوظيفي ونقص الخبرة العملية
أولاً وقبل كل شيء، قلة قليلة من مسؤولي أمن المعلومات اليوم صعدوا من الوظائف الدنيا في تكنولوجيا لمعلومات.ونعني بذلك، العمل اليومي الشاق الذي يتضمن سحب الكابلات، أو تصحيح البرامج، أو كتابة التعليمات البرمجية، أو البقاء مستيقظين طوال الليل لمرافقة ورشات الصيانة لإصلاح انقطاع التيار الكهربائي أو العمل فجراً لاستبدال مخدم تعطل فجأة. لا يمكنك تعلم كيفية تصفح الانترنت من خلال قراءة كتاب، ولا يمكنك أن تكون مسؤول أمن معلومات فعالاً دون فهم وتقدير لموظفي تكنولوجيا المعلومات والتجارب والمحن التي يمر بها أولئك الذين يعملون في الخطوط الأمامية لحماية الشركة يوماً بعد يوم.
لنأخذ مثالاً مفيداً لتوضيح الفكرة. في الحروب، تجد أن الرتب بمستوى الرقيب هي من ترأس مجموعات قتالية، وليس رتب عسكرية عليا. لكن تضع تلك الرتب العليا السياسات والخطط ويصدرون الأوامر. وعلى الأرض، يحول الرقيب تلك الأوامر لخطوات عملية، إنه يعرف كيف تسير الأمور وماذا يفعل عندما تنهار خطة المعركة الاستراتيجية في مواجهة التحديات اللوجستية ومناورات العدو المفاجئة. تعرف هذه المستويات أيضاً كيفية تدريب الجنود الجيدين ووضع الأشخاص المناسبين في الوظائف المناسبة. كيف يعرفون كل هذا؟ لأنهم كانوا هناك. لقد أدوا العمل المطلوب. إنهم يقودون بالمعرفة والمهارات العملية، وليس بدرجات الإجازة الجامعية.
ليس الأمر كذلك مع غالبية مسؤولي أمن المعلومات اليوم. قد يكون لديهم درجات أكاديمية، لكن قِلة منهم لديهم خبرة عملية على أرض الواقع. وبالتالي، فإنهم يقللون من التواصل ويبالغون في تقدير الصعوبات التي تترتب على بناء منظمة لديها موقف قوي للأمن السيبراني تمكنها من معالجة العدد المتزايد للهجمات.
الفروق الثقافية
قليل من مسؤولي أمن المعلومات المعاصرين يفهمون أو يقدرون الفروق الثقافية الدقيقة للمؤسسة التي ينضمون إليها. ويفهم عدد أقل كيف يمكن للثقافة تمكين أو تعطيل تنفيذ مبادرات الأمن السيبراني.
الثقافة عامل قوي في بناء شركة آمنة على الانترنت وذات بنية أعمال رشيقة ومتكاملة. تؤثر مجموعة مترابطة من العوامل التنظيمية في نظام تشغيل الشركة وتعزز كيفية تفاعل الموظفين مع الأحداث السيبرانية، مما يخلق ثقافة أمن سيبراني فعالة أو ضعيفة. لإعادة تشكيل ثقافة الأمن السيبراني، يجب على مسؤول أمن المعلومات أن يسعى لدمج الأمن في جميع الوظائف حتى يكون الجميع على دراية بدورهم في الأمن السيبراني. لا يتمتع معظم مسؤولي أمن المعلومات الجدد بالمهارة والمعرفة بالسياسة التنظيمية ويميلون إلى الاختباء وراء التكنولوجيا كمملكة لهم. لكن، الأمن السيبراني هو مزيج من التكنولوجيا والسياسات والثقافة ويجب أن يكون مسؤول أمن المعلومات بارعاً في كل هذه الأمور الثلاثة ليكون فعالاً.
تعيين رئيس أمن المعلومات “المناسب”
في رأينا، فإن معدل الدوران الوظيفي المرتفع لقادة أمن المعلومات ،بين الشركات، يشكل مخاطرة تجارية كبيرة. وخاصة مع الزيادة الهائلة في الهجمات السيبرانية التي تحدث عبر المنصات المختلفة وأسطح الهجوم المتعددة. من وجهة نظر الشركة، فإن أفضل حل لمعالجة حالة مسؤولي أمن المعلومات الذين لا يستطيعون الأداء ولا يبقون في مناصبهم هو التوظيف الانتقائي. مع مثل هذا الدور المهم لسلامة وأمن منظمة الأعمال. لذلك، من المهم أن تتولى الإدارة العليا دوراً نشطاً. فيما يلي بعض الاقتراحات.
محدودية التوظيف التقليدي
إن فهم الاحتياجات السيبرانية للمؤسسة والثقافة وفريق القيادة الذي يجب أن ينسجم معه مسؤول أمن المعلومات ليس بالأمر السهل. وفي أغلب الأحيان، يبحث مختصو التوظيف عن مسؤولي أمن المعلومات البارزين الذين أمضوا من عامين إلى ثلاثة أعوام في العديد من المؤسسات الأكبر حجماً. ومن السهل على موظفي قسم الموارد البشرية أن ينبهروا بسيرة ذاتية تحتوي على أسماء شركات كبيرة. وبالتالي، يجب تقييم مسؤولي أمن المعلومات ،الذين يتقدمون، بشكل أكثر تفصيلاً. هل لديهم ما يلزم لإحداث فرق في الشركة وبناء شيء ملفت، أم أنهم يستخدمون شركتك كنقطة انطلاق للوظيفة التالية والراتب الأعلى؟
الاختيار من داخل المؤسسة
غالباً ما يتم تجاهل المرشحين الداخليين ذوي الكفاءة والخبرة العالية خلال البحث عن مسؤول أمن المعلومات. لسبب ما، يعتقد قادة الشركات، أو يُقال لهم من قبل صائدي المواهب، أن التوظيف الخارجي سيكون بجودة أعلى من الشخص الداخلي. لكن هذا المنطق خاطئ غالباً. يعرف الأشخاص الداخليون العمل والأشخاص وكيفية إنجاز الأمور باستخدام اللغو والثقافة الرائجة في الشركة. كما أن الترقية من الداخل هي علامة قوية للموظفين على أن هذه الشركة توفر لي فرصاً تمكنني من التعلم والتطور والنمو مهنياً.
الدوران الوظيفي -تعدد المهارات
يجب أن يكون مدير أمن المعلومات الفعّال قائداً ومديراً جيداً أيضاً. في حين يركز مدير المعلومات على الحفاظ على التكنولوجيا الحالية وبأسعار معقولة، يعيش كبير مسؤولي أمن المعلومات وفريق الأمن السيبراني في ظل هجمات وتهديدات مستمرة. يجب تطويرهم إلى فريق متماسك ونشط وسريع الاستجابة وموجه نحو الحلول. ولذلك، يتطلب دور مدير أمن المعلومات مهارات القيادة والإدارة أكثر بكثير من المهارات الاستراتيجية.
العمل مع الإدارات العليا
ضع مدير أمن المعلومات في فريق القيادة. امنحه الدعم والتمويل والقوة التي يحتاج إليها لمساعدة الشركة بأكملها على فهم أن الأمن السيبراني هو قضية عمل وليس مجرد قضية تقنية. تظهر بعض البيانات المثيرة للاهتمام أن تكلفة الاختراقات تكون أقل إذا كان مدير أمن المعلومات يقدم تقاريره إلى الرئيس التنفيذي، أو حتى مجلس الإدارة، أكثر مما لو كان تابعاً لرئيس تكنولوجيا المعلومات.
الميزانية وتجاوز القيود
إن التركيز والسياق مختلفين تماماً بين مدير المعلومات (CIO) ومسؤول أمن المعلومات (CISO). ولذلك، فوضع ميزانية مسؤول أمن المعلومات ضمن تكنولوجيا المعلومات يزيد البروقراطية والتركيز على تقليل التكاليف، في حين أن الأمن السيبراني يجب أن يكون مرناً وسريع الاستجابة. وكذلك، فإن اهتمام مسؤولي الأمن ينصب على تدريب المؤسسة بأكملها، ودعم المستخدمين بالأدوات والمعرفة، وبناء وظائف SOC قوية بما يكفي لحماية الشركة.
كلمة أخيرة
مثل أي دور قيادي تنفيذي مهم آخر، يحتاج مسؤول أمن المعلومات إلى التوجيه والتدريب والتطوير. ولذلك، فإن الرئيس التنفيذي يمكن أن يتولى هذه المسؤولية شخصياً. إن مهارات القيادة، وليس التكنولوجيا، هي التي ستوفر ثقافة قوية للأمن السيبراني. إذا كنت تريد أن يبقى مسؤول أمن المعلومات الخاص بك لفترة أطول، وأن يكون فعالاً وأن يكون له تأثير إيجابي، فإن التدريب وتطوير مهاراته القيادية أمر بالغ الأهمية.
